La historia del proxy perdido

Sí, me ha pasado. Me he dejado mi server proxy abierto, alguien lo ha encontrado, y ha empezado a mandar spam desde él.

No recuerdo en qué blog leía hace tiempo sobre programas que, a modo de estructura P2P iban probando todos las las IP’s posibles para encontrar proxies abiertos y meterlos en grandes listas y bases de datos. Probaban todos los rangos de IP’s, excluyendo algunos “peligrosos”. Entre estos peligrosos estaban por ejemplo los rangos utilizados por ejércitos de todo el mundo, los de las diferentes policías de Europa y EEUU, … en resumen, todos aquellos que tengan bastante más peligro de ser un precioso cuenquito de miel.

En este caso el tema no son los honeypots ni los proxypots, vengo a admitir, que me acaba de pasar lo que ya comentó Chema Alonso, en su post de su blog http://www.elladodelmal.com/. Resulta, que haciendo unas pruebas para confirmar una pequeña certidumbre, me vi con la necesidad de instalar un proxy en mi servidor. Lo instalé, probé lo que quería probar, y ahí lo dejé.


 

Todo normal, hasta que este mediodía me intento loggear en mi servidor. Parece que está apagado, ¡Qué raro! Cuando los apagan por mantenimiento, siempre nos avisan... Esperé un ratito, y como veía que la cosa no se solucionaba, fuí a mi panel, y me encuentro que el servidor está suspendido. Me dirijo a la zona de avisos y veo lo siguiente:


Carlos;

This ticket is notification that your service with us (XXX.XXX.XXX.XXX) is now suspended for the following TOS/AUP infractions:

- Unsolicited Communications

As this is your first offense, no further administrative action will be taken. Upon your reply to this ticket, the service will be reactivated and you will have 24 hours to resolve this issue. Please be aware that further abuse reports after this time frame will constitute a second offense, resulting in suspension and a TOS/AUP Violation Fine.

Logs of the abuse follow:



[ SpamCop V4.6.2.001 ]
This message is brief for your comfort. Please use links below for details.

Email from XXX.XXX.XXX.XXX / Sun, 13 Jan 2013 17:27:29 PDT
http://www.spamcop.net/w3m?i=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

[ Additional comments from recipient ]
> Illegal Advanced Payment Fee Scam.
[ Offending message ]
Return-Path: <000sw0@att.net>
Received: from [98.139.52.188] by nm9.bullet.mail.ac4.yahoo.com with NNFMP; 14 Jan 2013 00:27:29 -0000
Received: from [66.94.237.100] by tm1.bullet.mail.ac4.yahoo.com with NNFMP; 14 Jan 2013 00:27:29 -0000
Received: from [127.0.0.1] by omp1005.access.mail.mud.yahoo.com with NNFMP; 14 Jan 2013 00:27:29 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 643283.57256.bm@omp1005.access.mail.mud.yahoo.com
Received: (qmail 25625 invoked by uid 60001); 14 Jan 2013 00:27:29 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=att.net; s=s1024; t=1350865649; bh=2X1m7W321iEfHXV/qFl+HjligzgltDo7on9LxQ4jRZ0=; h=X-YMail-OSG:Received:X-Rocket-MIMEInfo:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type; b=oczZdAPQiNatHf5RUknI0izFjbmkXYjKTi3lOhUqvFEBlqPaojHdSNlmOgqlE+kZo3/2hs8iO0dvV
+Flw7GDlnkpTbyn5YCZK/usQjVZbSNTn2pTlYz22Rb1rnURuGT70sv1gzcmsXd+ZGkthD3ucSlBYdK4RAnVwsUbxM5bEio=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=att.net;
h=X-YMail-OSG:Received:X-Rocket-MIMEInfo:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type;
b=HlZsgeBIk10RIWibuyL7XiL269nnY9gdHtXy9OqEI2qZcs6LB5cGriTFLqS8yaUvfRz+LsmU94oIxvWohL5lHIwANqvJqJFlc
+zoJf/VzIxNhUMSvsjpYX91ZwBNYZs0X+NjZq+kqJS/VehpdcVlGnk1M/c2O0tZN9N4vAwnMXk=;
X-YMail-OSG: CmvhEegVM1kzlrieSaiJpb._.F1WC5GwYKLtHjFCCbOaJU7
WCxxrZjsjuYEzGMG09nXjW63CYgoKUM48yekerAeC9NqKhtVIWem6l2HxLwJ
tn_E.pUF.TzBQGcfIlL0EP2OGR57XoAL9UJpXg6zVYosQ6ck5qErKmPRZfXx
AblPZLKKBDUR6OCswqVR34vuWfU0xVA9K5CUeQJqT2DdjcOx3nKWMrruVTfG
3lthHBPvwMsAFvWcuES2MJJdqeGedLxZLJYayMo0PFCbwRvMzgSZRZ_jEmEP
0Yz0bipyA.arcx2mCJen4c4MGzKBTGxEQL7vHY6xZXVfBQkapEog6w2hdLWg
QFnj8AjkO3zTmRcAnikRqhB36VqmMhqQ3GI_ZCm36FAtKVSS3XYVx1N_SzVO
yL0gYcf7mhhhYRYW9lXuc3.edxWWQLn9mpkB6__s1k5gwGdbBmo9iAC9Xb8N
fDIrZh0CjUGw8rhhff4wf7W7h9wT32nuG_bVHVDJ9eQlOblPCko.PaTrr0NF
8De93C9XtE0fgcCG_i5f6OBQrTJJjDg--
Received: from [XXX.XXX.XX.XX] by web181102.mail.ne1.yahoo.com via HTTP; Sun, 13 Jan 2013 17:27:29 PDT
X-Rocket-MIMEInfo: 001.001,R3JlZXRpbmdzIQ0KCgoKCgoKCgoKCgoKCgoKCk15IG5hbWUgaXMgWm9iaXJhLEkgZ290IHlvdXIgSUQgb25sa
W5lIAp0b2RheS4gV2hlbiBhbSBzZWFyY2hpbmcgZm9yIGEgcGFydG5lciB3aXRoIHdob20gSSB3b3VsZCBsaWtlIHRvIGJ1aWxkIA
psYXN0aW5nIHJlbGF0aW9uc2hpcHMuDQoKCgoKCgoKCgoKCgoKCgoKRmlyc3RseSxpdCBpcyBteSBwbGVhc3VyZS
B0byB3cml0ZSB5b3UgCmFuZMKgIGl0IHdpbGwgYWxzbyBwbGVhc2UgbWUgdG8ga25vdyBtb3JlIGFib3V0IHlvdS
wgaWYgeW91IHdpc2ggdG9vLiABMAEBAQE-
X-Mailer: YahooMailClassic/15.0.8 YahooMailWebService/0.8.123.450
Message-ID: <1350_________________________ssic@web181102.mail.ne1.yahoo.com>
Date: Sun, 13 Jan 2013 17:27:29 -0700 (PDT)
From: zobira k <000sw0@att.net>
Reply-To: zobirakiki62@yahoo.com
Subject: Greeting from zobira
To: undisclosed recipients: ;
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="431184223-425248257-1350865649=:12725"
--431184223-425248257-1350865649=:12725 Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: quoted-printable

Greetings! My name is Zobira,I got you= r ID online =0Atoday.

When am searching for a partner with whom I would like to build alasting relationships.

Firstly,it is my pleasure t= o write you =0Aand=A0 it will also please me to know more about you, if you wish too.
I Awill send you my pictures and further details about me.when= you sent me =0Aan answer.

I know a true friend is a gift from God.

Hope to hear from you,God b= less you

Your's Sincerely,

Miss Zobira 

Como podeis ver, se trata de un mensaje de Spam intentando hacer algún tipo de timo. Podeis ver los códigos de tiempo, los “-0700 pdt” son de la costa oeste de Estados Unidos, donde está mi servidor, y también los de Yahoo; sin embargo, también hay código de europa “-0000”, en la parte de mensajes recibidos.

Received: (qmail 25625 invoked by uid 60001); 14 Jan 2013 00:27:29 -0000

Por último, me ha parecido interesante echarle un vistazo a las IP’s que aparecen en el mensaje:

98.139.52.188 ----> USA propiedad de yahoo.
66.94.237.100 ----> USA propiedad de yahoo.

Respecto a los dominios:

att.net ----> Empresa de telefonía AT&T powered by yahoo.

Sobre la localización tengo pocas pistas, pero podemos deducir en base al charset que...

charset=iso-8859-1

Es el charset utilizado para los siguientes idiomas: afrikáans, alemán, castellano, español, catalán, euskera, aragonés, asturiano, danés, escocés, feroés,finés, francés, gaélico, gallego, inglés, islandés, italiano, Holandés, noruego, portugués y sueco. Fuente: http://es.wikipedia.org/wiki/ISO_8859-1 Lo cual tampoco nos dice mucho.


Por desgracia no he tenido la oportunidad de guardar ningún log del servidor. Aunque previo aviso a mi compañía de servidores, no descarto loggear por completo las actividades de algún estafador para la próxima.

Todo esto nos enseña dos cosas:

1. Nadie va a probar justo mi IP, no es un pensamiento válido. Al menos en lo que a IPv4 se refiere.
2.  Siempre conviene tomar unas mínimas medidas y poner una contraseña, sea lo que sea. Aunque pensemos por pura probabilidad que es una pérdida de tiempo.

 

Abiertos los registros para la RootedCon 2013

Desde este Lunes dia 14 están abiertos los registros para la RootedCon 2013, por lo que si estás interesado en ir es recomendable que te des prisa por hacerte con tu entrada.

Tramo	Estudiantes	Estándar	Con descuento
14 Enero 2013 → 31 Enero 2013	35€	80€	72€
1 Febrero 2013 → 13 Febrero 2013	60€	120€	108€
14 Febrero 2013 → 28 Febrero 2013	80€	180€	162€
01 Marzo 2013 → 06 Marzo 2013	100€	200€	180€
Venta en puerta	150€	300€	280€

Para mas información accede a la web oficial: http://www.rootedcon.es/index.php/registro/

¡Nos vemos por alli!

Crack the hash

Como sabéis, casi siempre las constraseñas son hasheadas. Un hash de una cadena de caracteres es una conversión algorítmica de dicha cadena, de tal manera, que desde la restultante (o hash), no se puede volver a la cadena de texto plano base. Por tanto, la única manera que tenemos para extraer el texto plano de un hash es, probar una y otra vez hasta dar con la cadena correcta.

De esta manera, si tenemos una cadena CADENA, que convertimos en un hash HASH, la única manera de hacer la operación contraria es probar el hash de todas las posibles conbinaciones.

Se habla muchas veces de como son las contraseñas ideales, de que cuanto más aleatoria, más caracteres de distinto tipo ($4a^*@eE) mejor, y como la longitud es uno de los factores más importantes, las hace más dificiles de crackear, sin embargo, ahora, me gustaría darle un enfoque más matemático al asunto. Para esto, y para ver las cosas de una manera más práctica sin pararme a repetir una y otra vez el decálogo de "buenas prácticas poniendo contraseñas"; y como no todo depende de nosotros, me gustaría antes situar al lector en el punto tecnológico en el que estamos respecto a la seguridad

¿En que punto estamos?

Atendiendo a la ley de Moore y a los avances que se darán en computación cuantica y a las posibilidades que nuevos materiales como el grafeno dan a la informática, podemos decir que el futuro pinta negro, las contraseñas dejarán de ser útiles cuando la cadena de texto a memorizar tenga que ser suficientemente larga para ser segura, que nadie la pueda recordar.

Así, hace años, cuando internet era algo que estaba empezando, las contraseñas de unos pocos dígitos eran algo normal, y bastante seguro. Los procesadores tardaban años en iterar 15 caracteres. Nadie con un ordenador domestico podía permitirse hacer ese cálculo, de hecho, si la mayoría intentáis hacerlo en vuestras casas, para caracteres alfanuméricos, probablemente tardéis un par de días utilizando la potencia de un procesador decente.

Pues bien, los procesadores se han pasado de moda. Hace unos años, la discusión en password cracking era CPU vs GPU, hoy, ya hemos resuelto esa cuestión, la GPU ha ganado de largo. Para crackear contraseñas, ya no se mandan las operaciones matemáticas y los algoritmos a los 4 núcleos de un procesador, si no a los miles de hilos de nuestras tarjetas gráficas. Sin ir más lejos, en ordenadores destinados a hacer grandes cálculos, se están dejando de utilizar procesadores, para utilizar gráficas con tecnología CUDA (procesamiento paralelo). Esto aplicado a la seguridad de las contraseñas, permite romper contraseñas a mucha más velocidad que en el pasado.

El culebrón de John McAfee llega hasta límites insospechados

Desde luego que la noticia de la detención de John McAfee por la policía de Belize llamó la atención de propios y extraños. Desde el primer momento el caso causó revuelo y parecía un guión de novela negra mas que una historia real, un famoso, un asesinato, una escapada, el descubrimiento del escondite de McAfee a través de los datos EXIF. Pero lo que ha publicado el señor McAfee en su blog es digno de película.

Al parecer tras el allanamiento de su propiedad y el asesinato de su perro, John pasó a la ofensiva, compró 75 portátiles a los que instaló un troyano y empaquetó de nuevo como si fuesen nuevos para enviarlos como regalo empleados gubernamentales, oficiales de policía, asistentes del gabinete de ministros y parejas de gente poderosa. Tras esparcir el hardware contrató a 4 personas a tiempo completo para controlar la información recibida y proveer las contraseñas de email, Facebook y otros servicios.

Por si todo esto no se queda corto, afirma que contrató a 23 mujeres y 6 hombres para llevar a cabo una compleja labor de ingeniería social, a estas personas se les entrenó para instalar software en los ordenadores de los objetivos en poco tiempo, mientras dormían, comían o se duchaban ademas de conseguir acceso a los SMS de los objetivos debido a la proximidad.

Por otro lado McAfee utilizó ingenieria social por si mismo para acceder a datos confidenciales de dos compañías de telefonía y así conseguir la red de contactos de sus objetivos principales. Simultáneamente se envió a los ingenieros sociales a realzar una labor de inteligencia a personas clave relacionadas con los ministros gubernamentales equipados con una grabadora, software, regalos, una historia y una sonrisa seductora mientras que McAfee enviaba semanalmente un email al primer ministro reclamando una disculpa que nunca recibió.

Según el autor de toda esta historia, lo que buscaba era algún tipo de revancha y por lo visto encontró algún que otro "trapo sucio" como escarceos amorosos, la presumible homosexualidad del presidente del UDP o la orden de asesinato de Arthur Young por parte del Presidente.

Y la historia no acaba aquí pero no quiero extenderme mucho en esta entrada, podeis seguir leyendo este historia en el blog de McAfee si queréis entreteneros un rato, ya que en mi opinión esto no son mas que los delirios de un señor con ganas de llamar la atención dado lo inverosímil de esta historia.

¿Y vosotros que opináis, creeis que McAfee ha llevado a cabo una de las tramas de espionaje mas elaboradas por una persona o por el contrario veis en esto los delirios de un hombre viejo conocido por sus experimentos con las drogas?